Shellshock-Bug bereits Fundament für schnell wachsendes Botnetz

Bereits kurz nach dem Bekanntwerden eines Sicherheits-Problems unter Linux, das als "Shellshock" bezeichnet wird, tauchen auch schon die ersten Meldungen darüber aus, wie das Problem ausgenutzt wird. Ein Botnetz namens "Wopbot" ist bereits aktiv. Die Malware, auf der das Botnetz beruht, ist derzeit dabei, das Internet nach weiteren Systemen zu durchsuchen, die über die Shellshock-Schwachstelle angreifbar sind. So wird die Infrastruktur erst einmal bis zu einer kritischen Masse aufgebaut. Gefunden wurde Wopbot von Sicherheits-Forschern des italienischen Unternehmens Tiger Security.

Angriffe auf Akamai

Auch die ersten Aktionen hat das Botnetz bereits hinter sich. So griffen die infizierten Systeme mit einer DDoS-Attacke verschiedene Dienste an, die auf dem Content-Delivery-Network Akamai gehostet werden. Es ist damit zu rechnen, dass in der kommenden Zeit noch weitere Ziele angesteuert werden.

Bei Tests in einer abgeschotteten Umgebung ist den Tiger-Mitarbeitern etwas ungewöhnliches aufgefallen: Die Malware führte umfassende Scans in einem IP-Adressbereich 215.0.0.0/8 durch. Hier handelt es sich um 16,7 Millionen Adressen, die zum US-Militär gehören. Warum sich ein Trojaner gerade dieses gezielt als Ort für den Aufbau eines Botnetzes aussucht, ist derzeit noch unklar.

Unbekannt ist derzeit auch noch, wie viele Rechner bereits im Wopbot-Botnetz zusammengeschlossen sind. Einen Command-and-Controll-Server konnten die Experten bereits vom Netz nehmen, nachdem sie Kontakt mit einem britischen Hoster aufgenommen hatten, in dessen Netz dieser betrieben wurde.

Ein weiteres System wurde in den USA lokalisiert. Dieses ist derzeit noch aktiv und verbreitet Malware, weshalb immer noch die Möglichkeit besteht, dass Wopbot schnell an Größe gewinnt. In vergleichbaren Fällen hatte man in der Vergangenheit immerhin schon beobachtet, dass binnen einer Stunde mehr als 200.000 neue Rechner infiziert werden konnten.